[ubuntu-ar] Hacer una DMZ para una direccion IP especifica
Matias Varela
matu.varela at gmail.com
Thu Nov 26 04:50:38 GMT 2009
ubuntu-ar-request en lists.ubuntu.com escribió:
> El d?a 25 de noviembre de 2009 15:40, Marco Antonio <mhoyos en gmail.com> escribi?:
>
>> El d?a 25 de noviembre de 2009 15:32, Maxi
>> <maximiliano.duarte en gmail.com> escribi?:
>>
>>> Tengo un sistema de camaras monitoreable desde el exterior que corre
>>> sobre winxp a la cual le asigne una ip fija, pero desde el firewall de
>>> linux no puedo hacer que los puertos por mas que los abra tengan
>>> entrada-salida a esa ip.
>>> Vi que se puede hacer pero agregando una tercer placa de red, una para
>>> internet otra para la red local y la tercera para la DMZ, no se que es
>>> mejor o mas seguro.
>>>
>>>
>> maximiliano:
>>
>> tenes 2 opciones para hacer esto:
>>
>> - por iptables: que todo el trafico que de tcp/ip in/out desde la ip X
>> con el puerto X sea redirigido al tal o cual lado.
>> - por DMZ: tendrias que considerar (tambien con iptables) pero es mas
>> complejo, porque vas a tener 3 rutas (lan, wan, dmz) y sus
>> correspondientes interconeciones.
>>
>> si no tenes muy claro usar iptables+dmz, te recomendaria iptables.. ya
>> que el otro punto esta en la wan (es lo que interprete yo).
>>
>> salu2
>>
>>
>>
>> --
>> ? ? ? ? ? ? ? ? Marco Antonio de Hoyos
>> ? ? ? ? ? ? ?15-5157-2322 // 4268-1557
>> ? ? ? ? ? ? ? ? ? ? twitter: @mhoyos
>> ? ? ? ?Claypole - Pcia. de Bs. As.- Argentina
>> --------------------------------------------------------------------------
>> http://tecnicoslinux.com.ar |-| http://fotografoeventual.com.ar
>>
>> --
>> Ubuntu-ar lista de correo
>> Ubuntu-ar en lists.ubuntu.com
>> Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
>> Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
>>
>>
>>
>
>
> eso trate desde webmin asignado los puertos pero no me da bola, encima
> para distintas partes del monitoreo web, lan 3gp, etc, usa distintos
> puerto 8050,8060....8900 etc
> Creo que tengo que hacer alrevez lo que venga de ese puerto lo
> redirija a la ip que quiero
>
>
Hola maximiliano. Es más seguro utilizar un DMZ, ya que si se compromete
el equipo en la dmz, no corre peligro la lan interna. Necesitas una
interfaz más y también es más complicado de armar.
La idea sería asignarle una ip (al sistema de cámaras) en un rango
diferente a la lan interna, y luego en firewall prohibir el ingreso de
la dmz a la lan.
En reglas sería:
WAN --> DMZ DROP excepto en los puerto que necesitas. (Si la ip de
la DMZ tambien es publica, no necesitas NAT)
DMZ --> LAN DROP en todos los casos.. De ultima permití conexión ya
iniciadas o relacionadas (es decir, solo las que la LAN inicia)
LAN | DMZ --> WAN ACCEPT Salir a internet.. Podrías hacer un drop y
abrir puertos para cada cosa (smtp, web, etc)
Si no estás muy familiarizado con iptables, podés usar Shorewall. Es un
front-end de iptables. Usa archivos de configuración y aplica las
iptables cuando inicia el sistema. Fuente:
www.shorewall.net
http://www.linuxparatodos.net/portal/staticpages/index.php?page=como-shorewall-3-interfaces-red
http://juanjoalvarez.net/es/detail/2009/jun/25/configuracion-absurdamente-rapida-del-firewall-sho/
Lo otro que se me ocurre es que utilices una tecnología de VPN (hay
opiniones encontradas sobre si "es" o "no es") como OpenVPN. Lo
instalas en el gateway, y solo debes dejar abierto el puerto 1194 en UDP
para entrar y salir. En el cliente instalar la otra parte, y una vez
creado el tunel, accedes al sistema de camaras como si estuvieras al
lado (te da una ip de la red local).
Es una salida segura, aunque tiene su rollo. Rollo como el que me hice,
no sé si se entendió algo, cualquier cosa chiflá!
Saludos
More information about the Ubuntu-ar
mailing list